Инструкция по настройке LDAP-аутентификации на Nextсloud

Краткое описание

В статье описывается настройка LDAP-аутентификации в Nextсloud, где поставщиком учетных записей является MULTIDIRECTORY.

Требования к настройке

1. Установленная служба каталогов MULTIDIRECTORY.
2. Предустановленный Nextсloud.

Подготовка к настройке

• Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.
• Создайте группы доступа в MULTIDIRECTORY для пользователей Nextсloud.
• Установите на сервер с Nextсloud PHP LDAP-модуль, если ранее он не был установлен.

Настройка Nextсloud

Под локальным администратором Nextсloud перейдите в меню «Параметры сервера».

В открывшемся меню в заголовке «Параметры сервера» выберите пункт «LDAP/AD-интеграция».

Во вкладке «Сервер» внесите данные вашего LDAP-сервера, с которым будет происходить настройка интеграции. После завершения данной настройки нажмите «Продолжить».

Расшифровка полей

• Сервер – поле, в котором необходимо указать расположение вашего сервера. Можно использовать LDAP (389 порт по умолчанию) или LDAPS (636 порт по умолчанию). При нажатии кнопки «Определить порт» — Nextcloud определит порт автоматически.
• DN пользователя – необходимо указать DN пользователя, при помощи которого будет происходить подключение к каталогу.
• Пароль – необходимо указать пароль от учетной записи, при помощи которой будет происходить подключение к каталогу.
• Основная база поиска – данное поле заполнится автоматически при нажатии кнопки «Определить базу поиска DN».

Пользователи

Необходимо настроить критерии, по которым будет происходить поиск пользователей в MULTIDIRECTORY. Для этого в поле «Только эти классы объектов» выберите следющие типы:

• organizationalPerson;
• person;
• user.

В поле «Только из этих групп» выберите группы, в которых будет происходить поиск пользователей. После заврешения данной настройки нажмите «Продолжить».

Обратите внимание

LDAP-фильтр можно настроить и вручную, нажав кнопку «Изменить запрос LDAP».

Учетные данные

Настройка учетных данных позволяет установить вход по логину или по Еmail.

Чтобы проверить настройки и логин пользователя, введите логин пользователя и нажмите кнопку «Проверить настройки».

Расшифровка полей

• LDAP/AD Имя пользователя – позволяет войти в систему по имени пользователя службы каталогов, которое является либо «uid», либо «sAMAccountName».
• LDAP/AD Адрес электронной почты – позволяет входить в ситсему при помощи Email, использует атрибуты «mail» и «mailPrimaryAddress».
• Другие атрибуты – позволяет включить возможность использования других атрибутов для входа в систему.
• Изменить запрос LDAP – позволяет изменить запрос на поиск атрибутов для входа в систему.

Группы

Настройте критерии, по которым будет происходить поиск по группам в MULTIDIRECTORY.

В поле «Только эти классы объектов» выберите атрибут «group».
В поле «Только из этих групп» выберите группы, которые будут иметь доступ для входа.
Также есть возможность вручную написать запрос на поиск групп, нажав кнопку «Изменить запрос LDAP».

Обратите внимание

При нажатии кнопки «Изменить запрос LDAP» поля «Только эти классы объектов» и «Только из этих групп» будут недоступны.

Для проверки корректности настройки нажмите кнопку «Проверить настройки и пересчитать группы».